Cybercriminalité : l’action des autorités internationales s’accélère

Nos confrères de France Inter avaient vendu la mèche le 12 février en fin de journée, assurant que, le mardi précédent, avait été lancée une opération impliquant forces de l’ordre ukrainiennes et Française contre des cyberdélinquants impliqués dans des opérations liées au ransomware Egregor.

Dans un communiqué de presse, les services secrets ukrainiens, le SBU, viennent d’indiquer avoir « bloqué l’activité d’un groupe de pirates transnationaux », en coopération avec les autorités françaises et américaines. Selon le SBU, des « membres » du groupe et « son organisateur » ont été interpelés, mais l’enquête se poursuit. Et d’évoquer un total de plus de 150 victimes en Europe et aux États-Unis, pour un total de plus de 80 M$ de rançons versées.

De notre côté, depuis le début du mois de septembre 2020, période à laquelle le groupe est apparu, nous avons compté plus de 220 victimes connues du groupe, dont, en France et par ordre chronologique : le groupe Newrest, Gefco, Lacoste Dactyl Buro Office, Verimatrix, Adeka Polymer Additives Europe, Cerfrance, Ubisoft, Degomme Boccard, Oviance, IOC Print, Beroki, Otexio, IFI Peinture, Pizon & Cie, le groupe Ouest-France, la CCCA-BTP, Filmatic Industrie SAS, le groupe Mondial Frigo, Maison Ty Breiz, et Exclusive Networks. Soit près de 10 % de leurs victimes connues.

Mais si les opérations d’Egregor ont enregistré le même taux de réussite que celles de NetWalker ou de Revil/Sodinokibi, le nombre de victimes réelles a bonnes chances de tourner autour de 310. Ironie du calendrier, lors de l’annonce d’arrestations liées à NetWalker, nous soupçonnions déjà de possibles opérations de police à l’encontre d’Egregor.
Interrogé sur le sujet, Europol nous avait poliment répondu ne pas vouloir se prononcer sur ce point, soulignant que des opérations liées au coup porté à Emotet étaient encore en cours. Et justement, la police néerlandaise vient de reconnaître publiquement que les actions liées à cette opération, baptisée « Operation Ladybird », se poursuivent.

On Feb 9 as part of the #Emotet takedown the Netherlands Police started posting warning messages on cybercriminal forums. This ongoing activity includes evidence of #OperationLadybird https://t.co/5daPGHHyqY. Hosting criminal infrastructure in The Netherlands is a lost cause. pic.twitter.com/7VjZA4FCMT

— Landelijke Eenheid (@PolitieLE) February 17, 2021

Concrètement, les autorités néerlandaises sont allées jusqu’à publier des avertissements sur au moins deux forums russophones largement fréquentés par les cyberdélinquants – entre autres – : « la police néerlandaise va continuer ses efforts contre le détournement de notre infrastructure. Nous visons les botnets et les maliciels liés, comme Ryuk, Trickbot, et beaucoup d’autres. Nous nous alimentons auprès de sources d’information underground et de l’industrie de la cybersécurité. Nous ne laissons de côté aucun indice […]. Vous risquez de perdre votre liberté ; pas uniquement vos bots et votre business. Comme vous le savez, la police néerlandaise est toujours la première à voir les catalogues de la saison à venir [sic] ». Inutile de dire que ces messages n’ont pas été accueillis avec une sympathie extravagante sur les forums concernés : les messages d’insultes n’ont pas manqué.

Pour autant, après les opérations conduites contre les rançongiciels NetWalker et Egregor, et le botnet Emotet, force est de constater que les autorités sont passées à l’offensive de manière déterminée. Et aujourd’hui, la question qui anime le landernau de la cybersécurité est simple : qui sera le prochain à tomber ?

Les opérateurs de Nephilim tiennent peut-être une petite avance sur d’autres : la machine qui hébergeait jusqu’ici leur site Web semble avoir été intégralement nettoyée, présentant une page par défaut pour le serveur Web Apache sur Ubuntu en lieu et place du Wordpress affiché ne serait-ce encore qu’hier.

Une chose est sûre : l’activité des forces de l’ordre, au cours des premières semaines de l’année, n’aide pas à rendre plus audible le discours de ceux qui réclament des efforts plus importants des États contre la cybercriminalité.